7月の中旬頃にスマートフォンの某SNSアプリ関連の漫画をよく購入して読んでいました。
最初は、気になった漫画が出ていたので読んでいただけでったのですが、続きが気になってしまい次々に購入してしまいました。
某週刊誌に掲載中の料理漫画からはじまり、明治時代?を舞台にした鬼退治の漫画まで読んでしまいました。

何気なくクレジット情報をスマートフォンに登録し、購入したくなった時に漫画を購入。を繰り返ししていたら、 ある時急にクレジット情報の再登録を促すメッセージが表示されたので、少し不信に思いながらも登録してしまいました。

少し早まったかもしれない。というのが、正直な思いで今思い出すたびに冷や汗しか出てきません。
自己反省から、今回は情報セキュリティにしようと思った次第です。

情報セキュリティとは

最近は、大きな不祥事は聞きませんが、以前はSQLインジェクションの脆弱性を利用してのクレジットカード情報の流出やWinny等のファイル交換ソフトを介しての ウイルス感染しての情報漏洩や内部犯罪による企業の重要機密情報の漏洩問題などが連日ニュースで流れた時期もありました。

このような問題が起きるたびにIT関連企業では、情報セキュリティの教育や機密情報へのアクセス制限などを行い企業内での情報漏洩を防ごうとしてきました。
最近では、家庭でのセキュリティについても導入しやすいところからしっかりしてきているとも感じます。

ちなみに情報セキュリティとは一般的には、情報の機密性、完全性、可用性を確保することと定義されています。
機密性とは、ある情報へのアクセスを認められた人だけが、その情報にアクセスできる状態を確保すること。
完全性とは、情報が破壊、改ざんまたは消去されていない状態を確保すること。
可用性とは、情報へのアクセスを認められた人が、必要時に中断することなく、情報にアクセスできる状態を確保することを言います。
一時期多かった、Webサイトの改ざん問題は完全性という部分では、情報セキュリティは弱かったということになります。

企業における機密性、完全性、可用性の確報は、企業活動にもかかわることなので、社員教育からウイルス対策ソフトの導入やバックアップシステムの導入などを行い 機密性、完全性、可用性の確保を維持することをしてきました。

企業における情報セキュリティ教育

ここからは経験談となりますが、まず初めに行ったことは、ウイルス対策ソフトの導入です。
ウイルス対策ソフトも個人向け用のものではく、ビジネス版を導入し、サーバーから一括で管理できるソフトを導入しました。

次にセキュリティ教育として、USBメモリーなどの利用の制限です。
制限する理由としては、特に個人で使用しているUSBを業務で使用するケースが多かったからです。
なぜ、問題かというと個人で使用しているパソコンと業務で使用しているパソコンの環境に差があるからです。
個人で使用しているパソコンの場合、どうしてもセキュリティが甘くなってしまうことがあるからです。

よくあったのは、個人で使用しているUSBメモリーがウイルスに感染しており、そのUSBを業務で使用したことで、サーバーがウイルス感染し業務に影響を与えてしまった。
という話をよく聞かされました。
その対応についてです。

• 1.社内ネットワークからパソコンを隔離します。(LANケーブルを外します。)
• 2.管理者に報告します。

たったこの二つでした。
IT企業の場合、資産管理をするためのグループがあるので、最終的にはそこの方々で対応をしてもらうことになります。
この方々の対応は、
1.感染したと思われるパソコンでウイルススキャンをかける。
2.感染したウイルスとその機能について、確認を行う。
もし、情報の流出がある場合は、関係各社に速やかに報告を行う必要があるためです。
3.業務で使用しているパソコンのウイルススキャンの実施。
4.感染していた場合、感染する前の状態に戻す(バックアップ機能を利用して)。

ということを寝ずに対応します。このような対応をすることで、速やかに業務を再開できるようにします。 結構、時間かかるので、営業損害もかなり大きいと思うので、こうならないように注意を払ったほうが良いと思います。

5.「関係のないWebサイトを閲覧しない」。です。
というのも、セキュリティ教育を受けた当時ワンクリック詐欺などで流行していた時期で、パソコンでも同様に変なWebサイトにアクセスした瞬間、ウイルスに感染したり、情報が漏洩したりしないように教育を受けました。

以上が、企業におけるセキュリティ教育と対策なります。ここでは記載しなかったですが、定期的にウイルスチェックを行っていました。

家庭でできるセキュリティ対策

家庭で情報セキュリティを行う場合ですが、まずウイルス対策ソフトを導入します。
CMでよくやっていたのですが、「らくらくけーかーい♪」などに代表されるウイルス対策ソフトです。できれば、有名な会社が製造販売しているソフトの方が良いです。 というのは、機能が充実していることが挙げられます。

次に定期的にウイルススキャン、パターン定義ファイルの更新を行うことです。
ウイルス対策ソフトも完璧ではなく、日々進化しているウイルスに対応すべくパターン定義ファイルも更新されていきます。このファイルの更新をしていない場合、突然ウイルスに感染する可能性もあるので注意してください。

USBメモリーを使用する場合、USBメモリーにウイルススキャンを行います。そうすることで、USBを介してのウイルス感染を回避することができるようになります。

最後に、企業でもそうでしたが、「変なWebサイトへはアクセスしない。」
ランサムウェアが流行した時もそうでしたが、変なWebサイトは閲覧してしまうと、閲覧しただけでコンピューターが乗っ取られてしまうことがあります。 なので、そういうことを回避する意味でも変なWebサイトの閲覧はしないようにしましょう。

以上が、企業や個人で行える情報セキュリティの中のうちパソコンやソフトなどを導入することで対応できるものになります。

最後に

どうしても防ぐことができない情報セキュリティもあります。
正直なところ、こればかりは個人個人の意識の問題でもあります。

なりすましに代表される方法なのですが、パスワードを書かれたノートや付箋を見るケースやパスワードを入力しているところを見て、 アクセス権限のないのに機密情報を閲覧することなどです。
よく言われたのは、朝早くにきて勝手にログインして機密情報を閲覧するケースや夜遅くに残ってのケース。

このケースは本当に個人のモラルの問題なので、どうしようもないケースとなっています。家庭でも企業でもおかしいなと思ったときは、すぐにパスワードを変更するなどの対応をした方が良いでしょう。